Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Registro de actividades de tratamiento (RAT)

Boletín nº90 - Registro de actividades de tratamiento

El 25 de mayo de 2018 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y por el que se deroga la Directiva 95/46/CE. Asimismo, el 6 de diciembre de 2018 entró en vigor en España la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD), que derogó (con excepción de los artículos 23 y 24) la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

 

El RGPD introdujo, entre otras novedades, el registro de actividades de tratamiento (RAT). Este inventario registra todos los tratamientos de datos personales llevados a cabo por los responsables y encargados de tratamiento. El RAT remplazó la obligación de inscribir los ficheros en el Registro General de Protección de Datos en la Agencia Española de Protección de Datos, como se requería en la Ley Orgánica 15/1999. El RAT, en cumplimiento con el artículo 30 del RGPD, debe incluir la información siguiente:

 

  1. Nombre y datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  2. Los fines del tratamiento.
  3. Una descripción de las categorías de los interesados y de las categorías de datos personales.
  4. Las categorías de destinatarios a quienes se comunicaron o comunican los datos personales, incluyendo los destinatarios en otros países u organizaciones internacionales.
  5. En su caso, las transferencias de datos personales a otro país o una organización internacional, incluida la identificación de este país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. Cuando sea posible, los plazos previstos para suprimir las diferentes categorías de datos.
  7. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

 

De acuerdo con el artículo 31 de la LOPDGDD, las organizaciones públicas deben hacer público su inventario de tratamientos y este debe ser accesible por medios electrónicos. A tal efecto, la Dirección General del Servicio de Salud de las Islas Baleares ha publicado su registro de actividades de tratamiento en la sección «Protección de datos personales» del portal web del Servicio de Salud.

 

El registro de actividades de tratamiento de las gerencias asistenciales del Servicio de Salud también será incluido en la sección de «Protección de datos personales» del portal web del Servicio de Salud de las Islas Baleares.